SYNFLOOD攻撃の検知
- SYN_RECVの表示
netstat | grep SYN_RECV
- 30秒間隔でモニタリング
watch -n 30 "netstat | grep SYN_RECV"
- 60秒間隔でport80モニタリング
watch -n 60 "netstat -n -t | grep SYN_RECV | grep :80"
- この行数をカウントする
netstat | grep SYN_RECV | wc -l
#!/bin/sh syncount=`netstat | grep SYN_RECV | wc -l` #echo ${syncount} if ${syncount}>100; then ./ipfilter/iptables-krcnkp.sh fi
-
- iptablesのlimitとhashlimitも考えたけど、たくさんのウイルス感染したマシンからIP偽装して同時多発的に攻撃を食らうと想定するならば、効果あるか?limitは正常な接続要求もつられて拒絶してしまうので問題ありか?
- IPで5カラムのみ表示
netstat -n | grep SYN_RECV | awk '{print $5}'
- INPUTチェインの1番めのルールを消す
iptables -D INPUT 1